r05.yeslabrhce rhca6与实验手册linux安全securitychap05-v1

1、BENET3.0第二学期课程第五章 漏洞检测和远程访问控制 理论部分2课程回顾普通代理、透明代理的特点和区别在哪里？反向代理的主要作用是什么，如何配置实现？在配置透明代理时，设置的防火墙规则起什么作用？实现squid访问列表控制的2个主要配置项是什么？3技能展示会构建及使用Nessus漏洞检测系统熟悉NMAP、EtterCap、WireShark等常用工具会构建安全的SSH远程登录服务会使用SSH客户端工具实现远程访问会应用TCP Wrappers访问控制机制4本章结构构建Nessus漏洞检测系统漏洞检测和远程访问控制其他常用扫描及分析工具构建SSH远程登录系统使用TCP Wrappers机制

2、安装Nessus漏洞检测系统 使用NessusClient用户端配置nessusd服务端 OpenSSH服务端安全控制构建密钥对验证的SSH登录体系SSH客户端安全应用NMAP、EtterCAP、WireShark 5构建Nessus漏洞检测系统Nessus是什么强大的网络弱点（漏洞）扫描与分析工具美国 Tenable Network Security,Inc 公司出品 官方站点： Nessus系统的组成服务器端：nessusd用户端（客户端）：NessusClient 6安装Nessus漏洞检测系统安装Nessus服务端下载文件： Nessus-3.2.1-es5.i386.rpm默认安装路

3、径： /opt/nessus/安装Nessus用户端下载文件： NessusClient-3.2.1-es5.i386.rpm默认安装路径： /opt/nessus/rootlocalhost # vi /.bash_profileexport PATH=/opt/nessus/sbin:/opt/nessus/bin:$PATHexport MANPATH=/opt/nessus/man:manpathrootlocalhost # source /.bash_profile调整PATH变量7配置Nessus服务器端启动nessusd服务器程序方法1： /etc/init.d/nessusd

4、 start方法2：service nessusd start添加扫描用户nessus-adduser 脚本设置扫描权限accept /24accept /24default deny教员演示操作过程扫描权限限制8使用NessusClient用户端启动用户端程序在图形界面中执行 NessusClient &连接并登录到nessusd服务器添加扫描目标例如：IP地址为 0 的服务器主机执行扫描教员演示操作过程9使用NessusClient用户端查看扫描结果报告10其他常用扫描及分析工具NMAP扫描工具主要用于网络/主机扫描探测的命令行软件官方站点： EtterCAP网络嗅探工具主要针对用户名/密

5、码等敏感信息的嗅探抓包工具官方站点： WireShark协议分析器抓取网络数据包并进行逐层分解的协议分析软件官方站点： 11NMAP扫描工具的使用安装nmap程序从RHEL5系统光盘中安装 nmap-4.11-1.1.i386.rpm扫描方法nmap 扫描类型 选项 扫描目标 常用的扫描类型 -sSTCP SYN扫描 -sTTCP连接扫描 -P0 忽略ping测试反馈结果 -sU UDP扫描 -O 尝试探测操作系统类型常用的命令选项 -p 指定扫描的目标端口 -n 不进行反向DNS解析教员演示操作过程12EtterCAP嗅探工具的使用安装EtterCAP软件从RHEL5光盘安装依赖软件包： l

6、ibpcap、libpcap-devel需下载并依次安装下列软件包 libnet-2.2.el5.rf.i386.rpm ettercap-NG-0.7.3.tar.gz13EtterCAP嗅探工具的使用嗅探方法在图形模式中执行 ettercap -G & 打开程序指定用于嗅探数据的网卡添加嗅探目标例如嗅探本机（）与0间的通信执行嗅探查看嗅探结果教员演示操作过程14WireShark协议分析工具的使用安装WireShark软件从RHEL5光盘安装依赖软件包： libpcap、libpcap-devel需下载安装的软件包 wireshark-1.0.2.tar.gz 15WireShark协议分

7、析工具的使用协议分析方法在图形模式中执行 wireshark & 打开程序指定用于抓包的网卡执行数据包抓取（可随时暂停）过滤抓取的数据包查看数据包信息教员演示操作过程16小结请思考：Nessus漏洞检测系统的用户端程序是什么？在添加用于漏洞扫描的用户时如何限制扫描权限？NMAP、EtterCAP和WireShark工具各自的用途和特点是什么？17构建SSH远程登录系统SSH（Secure Shell，安全的命令解释器）为客户机提供安全的Shell环境，用于远程管理默认端口：TCP 22OpenSSH官方站点： 主要软件包：openssh-server、openssh-clients服务名：ss

8、hd服务端主程序：/usr/sbin/sshd客户端主程序：/usr/bin/ssh服务端配置文件：/etc/ssh/sshd_config客户端配置文件：/etc/ssh/ssh_config18OpenSSH服务端安全控制用户远程登录安全控制Port 22ListenAddress PermitRootLogin noPermitEmptyPasswords noLoginGraceTime 2mMaxAuthTries 6 DenyUsers zhangsan lisiAllowUsers jerry admin519OpenSSH服务端安全控制SSH登录使用的用户名服务器中的本地系统用

9、户的帐号名SSH登录的用户验证方式密码验证：使用服务器中系统帐号对应的密码密钥对验证：使用客户机中生成的公钥、私钥PasswordAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys20SSH客户端应用使用ssh命令远程登录方式1： ssh 用户名服务器地址方式2： ssh -l 用户名 服务器地址方式3： ssh 服务器地址使用scp命令远程复制文件/目录方式1： scp 用户名服务器地址:源文件 目标路径方式2： scp 本地文件 用户名服务器地址:目标路径若复制的是目录，则需添加

10、“-r”选项使用sftp命令从服务器下载文件教员演示操作过程21SSH客户端应用使用图形客户端软件 PuttyCN主要用途：基于SSH协议远程登录以便管理服务器下载地址： 使用图形客户端软件 WinSCP主要用途：基于sftp、scp或ftp的方式下载/上传数据下载地址： 22SSH客户端应用23构建密钥对验证的SSH登录体系第一步：创建密钥对 私钥文件：id_rsa 公钥文件：id_rsa.pubSSH客户机SSH服务器第二步：上传公钥文件 id_rsa.pub第三步：将公钥信息导入公钥数据库 数据库文件：/.ssh/authorized_keys第四步：再次登录时将通过密钥对验证以用户zh

11、angsan在客户机本地登录，并创建密钥对导入到服务器中用户lisi的公钥数据库以服务器中用户lisi的身份进行SSH远程登录24构建密钥对验证的SSH登录体系基本实现步骤1.在客户机创建密钥对 ssh-keygen命令2.将公钥文件上传至服务器3.设置服务器 将公钥信息导入到服务器中用户的公钥数据库 禁用密码验证、启用密钥对验证，并重启sshd服务4.在客户机远程登录进行验证zhangsanlocalhost $ ssh lisiEnter passphrase for key /home/zhangsan/.ssh/id_rsa: Last login: Fri Aug 15 14:02:

12、44 2008 from 34lisilocalhost $ 教员演示操作过程25使用TCP Wrappers机制TCP Wrappers的作用原理TCP Wrappers代为监听端口21代为监听端口23代为监听端口110代为监听端口143客户机的网络访问请求对访问请求进行过滤控制vsftpdtelnetipop3imap调用相应的网络程序26使用TCP Wrappers机制软件包tcp_wrappers-7.6-40.2.1.i386.rpm保护机制的实现方式方式1：通过tcpd主程序对其他服务程序进行包装方式2：由其他网络服务程序调用libwrap.so.*链接库主要配置文件/etc/ho

13、sts.allow/etc/hosts.deny27使用TCP Wrappers机制设置访问控制策略配置格式：服务程序列表:客户机地址列表服务程序列表 单个服务程序名 以逗号“,”分隔多个服务程序名 ALL表示所有服务程序客户机地址列表 单个IP地址 网段地址，“192.168.4.”或“/” 使用通配符 ? 和 * 以逗号“,”分隔多个地址 ALL表示所有地址28使用TCP Wrappers机制TCP Wrappers的访问控制原则首先检查 hosts.allow 文件，若找到相匹配的策略，则允许访问否则继续检查 hosts.deny 文件，若找到相匹配的策略，则拒绝访问如果两个文件中都没有

14、相匹配的策略，则允许访问29使用TCP Wrappers机制应用示例：仅允许地址为 7 或 019 以及 /24 网段的客户机访问sshd服务rootlocalhost # vi /etc/hosts.allowsshd:7,192.168.2.*,?rootlocalhost # vi /etc/hosts.denysshd:ALL教员演示操作过程30本章总结构建Nessus漏洞检测系统漏洞检测和远程访问控制其他常用扫描及分析工具构建SSH远程登录系统使用TCP Wrappers机制安装Nessus漏洞检测系统 使用NessusClient用户端配置nessusd服务端 OpenSSH服务端

15、安全控制构建密钥对验证的SSH登录体系SSH客户端安全应用NMAP、EtterCAP、WireShark BENET3.0第二学期课程第五章 漏洞检测和远程访问控制 上机部分32实验案例1：搭建Nessus漏洞检测系统需求描述安装NessusD服务器端软件安装Nessus客户端软件对扫描用户的权限进行控制，仅允许对服务器、进行扫描对服务器进行漏洞检测，保存扫描结果33实验案例1：搭建Nessus漏洞检测系统实现思路安装Nessues服务器端软件，添加扫描用户 安装Nessus服务端 添加扫描用户，设置扫描权限安装Nessus客户端软件服务器漏洞检测 连接Nessus服务器 设定目标主机为，进行

16、漏洞检测 查看及保存扫描报告(.html网页格式)34实验案例1：搭建Nessus漏洞检测系统学员练习30分钟内完成35实验案例2：搭建安全的SSH登录服务器需求描述允许网站管理员webmaster从任何客户端远程登录Web服务器，并采用密钥对的方式进行身份验证允许jacky从局域网内的网管工作站10远程登录Web服务器禁止其他用户远程登录Web服务器 36实验案例2：搭建安全的SSH登录服务器Internet网站服务器/24网管工作站10/24eth1: /24eth0: 1/24Linux网关服务器远程管理工作机18/2437实验案例2：搭建安全的SSH登录服务器实现思路准备测试机及Web服务器、网管服务器